聯邦調查局 (FBI)去年XNUMX月發出警告 公司和政府組織的安全服務。
該文件上週洩漏 聲稱未知的黑客利用了漏洞 在SonarQube代碼驗證平台上 獲得對源代碼存儲庫的訪問。 這導致政府機構和私人公司的源代碼洩漏。
FBI警報警告SonarQube所有者, 公司將其集成到其軟件構建鏈中的Web應用程序,以測試源代碼並發現安全漏洞,然後在生產環境中發布代碼和應用程序。
黑客利用已知的配置漏洞, 允許他們訪問專有代碼,對其進行提取和發布數據。 FBI已經確定了多種潛在的計算機入侵,這些入侵與與SonarQube配置漏洞相關的洩漏相關。
的應用 SonarQube安裝在Web服務器上 並連接到代碼託管系統 源,例如BitBucket,GitHub或GitLab帳戶,或Azure DevOps系統。
根據聯邦調查局,有些公司將這些系統置於不受保護的狀態, 以其默認配置(在端口9000上)和默認管理憑據(admin / admin)運行。 至少從2020年XNUMX月開始,黑客就濫用了配置錯誤的SonarQube應用程序。
“自2020年XNUMX月以來,身份不明的對像一直積極地針對脆弱的SonarQube實例,以獲取美國政府機構和私人公司的源代碼存儲庫。
黑客利用已知的配置漏洞,允許他們訪問專有代碼,將其洩露並公開顯示數據。 FBI已識別出多個潛在的計算機入侵事件,這些入侵與與SonarQube配置中的漏洞相關的洩漏有關。
的官員 FBI說威脅黑客濫用了這些不正確的設置 訪問SonarQube實例,切換到連接的源代碼存儲庫,然後訪問和竊取專有或私有/敏感應用程序。 聯邦調查局官員通過提供兩個過去幾個月發生的事件的實例來支持他們的警報:
“ 2020年XNUMX月,他們通過公共生命週期存儲庫工具披露了兩個組織的內部數據。 所竊取的數據來自SonarQube實例,這些實例使用默認端口設置和受影響組織網絡上運行的管理憑據。
“這項活動類似於2020年XNUMX月的一次數據洩露事件,在那次事件中,一個確定的網絡參與者通過安全性較差的SonarQube實例洩露了公司的源代碼,並將洩露的源代碼發佈到了一個自託管的公共存儲庫中。 。 «,
FBI警報觸及鮮為人知的話題 由軟件開發人員和安全研究人員提供。
而 網絡安全行業經常警告危險通過使MongoDB或Elasticsearch數據庫在沒有密碼的情況下在線暴露,SonarQube逃脫了監視。
實際上, 研究人員經常發現MongoDB或Elasticsearch的實例 線上 暴露數據 數以千萬計的不受保護的客戶。
例如,在2019年XNUMX月,安全研究人員賈斯汀·佩恩(Justin Paine)發現了一個錯誤配置的在線Elasticsearch數據庫,從而使大量客戶記錄暴露給發現該漏洞的攻擊者。
超過108億個賭注的信息(包括用戶的個人信息的詳細信息)屬於一組在線賭場的客戶。
但是,一個自2018年XNUMX月以來,一些安全研究人員警告過同樣的危險 當公司讓SonarQube應用程序使用默認憑據在線暴露時。
當時,專注於發現數據洩露的網絡安全顧問鮑勃·迪亞琴科(Bob Diachenko)警告說,當時在線上可用的大約30個SonarQube實例中,大約有40-3,000%沒有激活密碼或身份驗證機制。
來源: https://blog.sonarsource.com